第一章 总则

第一条 为贯彻落实国家、省医疗保障局有关网络与信息安全管理要求，加强我市医疗保障系统网络与信息安全建设，确保网络安全运行，数据安全可靠，应用系统稳定可用，依照《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》及《国家医疗保障局关于印发网络安全和数据保护工作指导意见的通知》（医保发〔2021〕23 号）相关文件要求，结合我市实际情况，制定本办法。

第二条 本办法对医保网络与信息安全工作起指导、规范作用，适用于局机关各科室、各中心，各县、区医疗保障部门参照执行。

 第三条 医疗保障网络与信息安全工作的保护对象是指由计算机终端或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础通用信息设备、医保基础信息网络、云平台系统、大数据平台、医保业务应用系统等。

第四条 本办法所指数据是指通过医疗保障业务系统收集、存储、传输、处理和产生的各种电子数据，主要包含定点医药机构、参保企业和参保人员医保信息数据，医保结算、业务经办类数据，医保网络平台及上层应用运行与维护数据。 

第二章  基本原则

第五条  网络与信息安全管理应遵循“积极利用、科学发展、依法管理、确保安全”的方针，严格按照以下原则管理，确保数据可管可控。

（一）在收集、使用定点医药机构、参保企业和参保人员数据时遵循“合法、正当、必要”原则。数据应当被严格保密，不得泄露、篡改或者损毁，不得违规查询、出售或者非法向他人提供。

（二）网络与信息安全管理遵循“谁主管谁负责、谁使用谁负责”原则，实行统一领导、分级管理，明确数据安全责任分工，层层落实数据安全责任。

（三）医保系统及相关平台建设遵循安全“三同步”原则，数据系统安全防护措施应做到同步规划、同步建设、同步运行。

（四）数据交换、共享遵循“数据不出门、出门必授权”原则。未经授权，医保业务敏感数据不可离开局内网络与计算环境；因工作需要，需向外部门、外单位提供的，必须通过安全评估，并签订信息保密协议。

第三章 组织保障

第六条 网络与信息安全工作由“蚌埠市医疗保障局网络与信息安全工作领导小组”（以下简称“领导小组”）总体指导。领导小组下设“蚌埠市医保网络与信息安全工作组”（以下简称“信息安全工作组”），具体负责指导全市医保网络和信息系统安全管理工作;负责全市医保网络和信息系统建设统筹、技术管理与安全维护保障工作；负责监督检查全市医保网络和信息系统安全情况。

第四章 建设管理

第七条 局机关各科室、各中心根据工作要求开展信息系统项目建设需求分析，按照“谁需要、谁立项”的原则执行，开展项目内容分析、规划、论证、并拟定建设方案。

第八条 领导小组”对建设项目的立项报告、可行性分析及建设方案等提出书面审查意见，明确项目建设负责部门和具体负责人，经局党组研究审批后方可实施。

第九条 项目建设牵头部门按有关规定进行招标采购和合同签订、协调各部门开展信息系统建设、测试、运行、验收等工作。项目建成后，应用系统的运行、安全管理、设备维护和技术支持纳入局信息化建设的总体管理，进行统一规划和资源整合。

第十条 局机关各科室、各中心应当按照业务需求，每年初提出年度信息化建设项目申请，编制项目申请表。

第五章 运维管理

第十一条  医保网络信息运维服务包括数据中心运维、网络运维、业务系统运维。

数据中心运维主要包括负责市医疗保障信息平台及相关系统硬件设备和云平台的运行情况监控及扩容。

网络运维主要包括医保专线的接入协调、运行维护、配置、故障响应和技术援助等。

业务系统运维包括市医疗保障信息平台及相关业务系统功能优化升级、故障响应等。

第十二条 市医保监管中心负责医保信息系统的日常运行维护和安全保障工作。

第十三条外单位申请接入、变更医保专网的，需填写《医保专网接入变更申请表》，由市医疗保障基金监管事务中心（以下简称“市医保监管中心”）审核后，移交数据中心服务商办理。

第十四条 医保信息系统上线运行及后续补丁版本升级，须经规范的系统测试，功能测试由项目需求单位组织业务人员实施，性能测试和安全测试由市医保监管中心组织相关技术人员实施。运维人员离场后，信息系统管理员应及时处置相关人员的账户和权限等。

第六章 权限管理

第十五条市医保监管中心统一账号权限管理。各县区医保局和各级医保经办机构明确1名信息系统管理员，负责本单位（辖区）信息系统权限分配工作。

第十六条信息系统权限的变动实行审批管理，由申请人填写《系统权限登记申报表》，经业务科室、分管负责人审批后，由本单位信息系统管理员授权，并报市医保监管中心备案。

第十七条  对系统的访问须经过授权，任何人不得在未经授权的情况下在系统中运行未经审批的程序操作。拥有账号的用户不得随意将账号交于他人使用。

第十八条  账号权限的分配应遵循满足需求的最小授权原则, 即为用户分配权限时, 以其能进行系统管理、操作的最小权限进行授权，避免为其分配无关的或更大的权限。

第十九条  当工作人员工作调动或离职时，科室负责人应及时填写《系统权限登记申报表》，申请账号变更登记；信息系统管理员收到申请后应立即将其在系统中的账号暂停使用，也不得继续将账号分配给他人使用。

第七章 安全管理

第二十条  项目立项阶段即要对信息系统项目及其建设的各个环节进行统一的安全管理规划。信息系统建设完成后按国家关于信息安全等级保护相关要求开展等保测评工作，并向公安机关进行备案。

第二十一条  “信息安全工作组”定期开展网络安全检查，根据需要组织安全专项检查。检查完成后形成检查报告，相关部门应针对检查报告中所提出的问题组织整改，整改完成后进行复查确认。

第二十二条  市医保监管中心负责数据中心病毒防治工作，并通过购买专业的安全厂商防病毒服务，及时升级查杀策略。同时指导各单位个人防病毒产品的部署和使用,组织计算机防病毒教育和培训,对计算机的防病毒情况进行检查

第二十三条  医保信息平台承建单位及合作保险公司派驻的第三方工作人员应当签署《安全保密承诺书》，并遵守本办法及各项网络和信息安全管理制度。

第八章 数据备份和恢复

第二十四条  数据备份采用零级备份或增量备份。

第二十五条  数据备份时，应及时记录备份情况，包括备份周期、时间、内容、相关变更记录等信息。

第二十六条  数据恢复前，须根据情况对所需要恢复的数据进行必要的备份，防止有用数据的丢失。

第二十七条  数据恢复后，须进行验证、确认，确保数据恢复的完整性和可用性。

第九章  应急响应处置

第二十八条  “领导小组”建立数据泄露等突发事件的应急响应机制，制定应急预案，定期组织演练，做好紧急情况下重要数据的保护。

第二十九条 对于已发生的网络和信息安全事件，应第一时间封堵漏洞，防止数据扩散。并按照流程及时上报，涉嫌犯罪行为的，要向当地公安机关报告，事后做好分析、整改、相关环节的完善。

第十章  附则

第三十条涉及国家秘密的医保网络安全保护对象的运行与管理，除应当遵守本制度，还应当遵守国家保密有关规定。

第三十一条本制度所涉及的信息安全工作组名单、保密协议、承诺书等另行发文规定。

第三十二条  本制度由市医疗保障基金监管事务中心负责解释。

第三十三条  本制度自印发之日起施行。